Добро пожаловать обратно, мои начинающие кибервоины!
В предыдущем уроке я познакомил вас с брандмауэром Linux iptables. iptables позволяет быстро и легко создать собственный брандмауэр для вашей сети, не тратя деньги на коммерческие брандмауэры. В этом уроке мы создадим систему обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на прикладном уровне, объединив iptables с правилами обнаружения вредоносных программ Snort.
Давайте познакомимся с fwsnort . fwsnort транслирует правила Snort в правила iptables. fwsnort написан на Perl (сильная сторона Perl — его возможности обработки текста) и пытается корректно транслировать правила Snort в правила iptables. Из-за сложности многих правил Snort не все из них можно перевести, но, как мы увидим, их достаточно, чтобы расширить возможности IDS/IPS для наших iptables.
Snort и его простые текстовые правила способны обнаруживать и блокировать широкий спектр сетевых атак и вредоносных программ. Многие военные базы США полностью полагаются на Snort для защиты своих сетей. fwsnort позволяет нам встроить систему сетевой защиты и оповещения Snort в наш встроенный межсетевой экран iptables, чтобы добавить дополнительный уровень обнаружения в нашу сеть.
Хотя исторически межсетевые экраны и системы обнаружения вторжений/предотвращения вторжений (IDS/IPS) были принципиально разными устройствами, в последние годы грань между ними стала размытой. Среди лучших и самых дорогих коммерческих межсетевых экранов гибридный межсетевой экран/система обнаружения вторжений (IDS) стал нормой.
Перед началом убедитесь, что установлены iptables и Snort .
kali > sudo apt install fwsnort
После установки давайте взглянем на экран справки.
kali > sudo fwsnort -h
Теперь мы можем установить и перевести правила Snort из /etc/snort/rules, введя:
kali> sudo fwsnort -snort-rdir /etc/snort/rules
Обратите внимание, что это старые правила, которые были предустановлены при загрузке snort.
Теперь, чтобы встроить правила Snort в наш брандмауэр iptables, нам нужно всего лишь запустить скрипт, предоставленный нам fwsnort в /var/lib/fwsnort.
кали > ./fwsnort.sh
Как видите, в наши iptables добавлено 1791 правило. Теперь при запуске iptables вы получите дополнительную защиту почти 1800 правил snort для блокировки вредоносного ПО в вашей сети!
kali > sudo fwsnort -snort-rfile /etc/snort/rules/community-rules/community.rule
Как видно выше, fwsnort оказался немного менее эффективен при парсинге и переводе этих правил для iptables. Он успешно перевёл только 36%. Как и выше, чтобы выполнить и установить эти правила в iptables, введите:
кали > ./fwsnort.sh
Давайте протестируем fwsnort на этих правилах.
kali > sudo fwsnort -snort-rfile /etc/snort/rules/snort3-community-rules/snort3-community.rules
Как вы можете видеть выше, fwsnort не смог разобрать и перевести НИ ОДНО из 3 правил snort.
В предыдущем уроке я познакомил вас с брандмауэром Linux iptables. iptables позволяет быстро и легко создать собственный брандмауэр для вашей сети, не тратя деньги на коммерческие брандмауэры. В этом уроке мы создадим систему обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на прикладном уровне, объединив iptables с правилами обнаружения вредоносных программ Snort.
Давайте познакомимся с fwsnort . fwsnort транслирует правила Snort в правила iptables. fwsnort написан на Perl (сильная сторона Perl — его возможности обработки текста) и пытается корректно транслировать правила Snort в правила iptables. Из-за сложности многих правил Snort не все из них можно перевести, но, как мы увидим, их достаточно, чтобы расширить возможности IDS/IPS для наших iptables.
Snort и его простые текстовые правила способны обнаруживать и блокировать широкий спектр сетевых атак и вредоносных программ. Многие военные базы США полностью полагаются на Snort для защиты своих сетей. fwsnort позволяет нам встроить систему сетевой защиты и оповещения Snort в наш встроенный межсетевой экран iptables, чтобы добавить дополнительный уровень обнаружения в нашу сеть.
Хотя исторически межсетевые экраны и системы обнаружения вторжений/предотвращения вторжений (IDS/IPS) были принципиально разными устройствами, в последние годы грань между ними стала размытой. Среди лучших и самых дорогих коммерческих межсетевых экранов гибридный межсетевой экран/система обнаружения вторжений (IDS) стал нормой.
Предостережение относительно IPS.
При использовании системы обнаружения вторжений (IDS) ожидается значительное количество ложных срабатываний. Задача аналитика безопасности — отделить «зёрна от плевел» и решить, является ли оповещение или запись в журнале реальной атакой. При использовании системы предотвращения вторжений (IPS) ложные срабатывания могут быть гораздо более серьёзными. Ложное срабатывание блокирует соединение до тех пор, пока аналитик безопасности не предпримет необходимые меры для его удаления. Это может привести к увеличению объёма работ по обслуживанию и, возможно, к разочарованию пользователей.Перед началом убедитесь, что установлены iptables и Snort .
Шаг №1: Загрузите и установите fwsnort
Начнём с установки fwsnort. Он доступен в репозитории Kali, поэтому мы можем использовать инструмент управления пакетами apt.kali > sudo apt install fwsnort
После установки давайте взглянем на экран справки.
kali > sudo fwsnort -h
Теперь мы можем установить и перевести правила Snort из /etc/snort/rules, введя:
kali> sudo fwsnort -snort-rdir /etc/snort/rules
Обратите внимание, что это старые правила, которые были предустановлены при загрузке snort.
Теперь, чтобы встроить правила Snort в наш брандмауэр iptables, нам нужно всего лишь запустить скрипт, предоставленный нам fwsnort в /var/lib/fwsnort.
кали > ./fwsnort.sh
Как видите, в наши iptables добавлено 1791 правило. Теперь при запуске iptables вы получите дополнительную защиту почти 1800 правил snort для блокировки вредоносного ПО в вашей сети!
Шаг №2. Установка и перевод Правил сообщества
Новые правила системы обнаружения вторжений snort доступны на сайте Snort.org. Вместо того, чтобы хранить каждую группу правил в отдельном файле, Snort поместил все файлы в один файл, называемый community.rules . Чтобы установить их, нам нужно немного изменить команду. Вместо использования параметра snort-rdir для установки целого каталога правил, как мы делали выше, теперь мы используем параметр -snort-rfile для импорта всех правил из одного файла.kali > sudo fwsnort -snort-rfile /etc/snort/rules/community-rules/community.rule
Как видно выше, fwsnort оказался немного менее эффективен при парсинге и переводе этих правил для iptables. Он успешно перевёл только 36%. Как и выше, чтобы выполнить и установить эти правила в iptables, введите:
кали > ./fwsnort.sh
Шаг №3: fwsnort с правилами Snort 3
Недавно специалисты из подразделения Snort (Talos) компании Cisco (владельца Snort) разработали новую версию, Snort 3. В ней они изменили и оптимизировали синтаксис правил Snort. В результате fwsnort не может их транслировать.Давайте протестируем fwsnort на этих правилах.
kali > sudo fwsnort -snort-rfile /etc/snort/rules/snort3-community-rules/snort3-community.rules
Как вы можете видеть выше, fwsnort не смог разобрать и перевести НИ ОДНО из 3 правил snort.
